GitLab 发布了一个关键安全更新，解决了一个可能导致未经授权访问 Kubernetes 集群的高严重性漏洞。社区版（CE）和企业版（EE）的 17.5.2、17.4.4 和 17.3.7 版共修补了六个安全漏洞，包括关键的 Kubernetes 问题和其他几个中等严重性的漏洞。 最严重的漏洞（CVE-2024-9693）允许在特定配置下未经授权访问集群中的 Kubernetes 代理。GitLab 安全公告警告说：“这是一个高严重性问题（CVSS 8.5）。该漏洞是由 GitLab 团队成员 Tiger Watson 在内部发现的。” 除了 Kubernetes 漏洞，GitLab 还修补了其他几个漏洞，包括 设备 OAuth 流量漏洞 (CVE-2024-7404)： 该漏洞可让攻击者以受害者身份获得完整的 API 访问权限。 拒绝服务 (DoS) 漏洞： 使用 Fogbugz 导入器导入恶意制作的内容可能会触发拒绝服务。 存储 XSS 漏洞 (CVE-2024-8648)： 攻击者可通过特制 URL 向分析仪表板注入恶意 JavaScript 代码。 HTML 注入漏洞 (CVE-2024-8180)： 如果未启用内容安全策略 (CSP)，不正确的输出编码可能导致跨站点脚本 (XSS) 攻击。 信息披露漏洞 (CVE-2024-10240)： 未经身份验证的用户可能会在特定情况下读取私有项目中的合并请求信息。 GitLab 敦促所有用户立即将其自主管理安装升级到最新版本。 “我们强烈建议所有运行受下述问题影响的版本的安装程序尽快升级到最新版本。”     转自安全客，原文链接：https://www.anquanke.com/post/id/301813 封面来源于网络，如有侵权请联系删除

在最近的一份报告中，Palo Alto Networks 的研究人员披露了谷歌 Vertex AI 平台中的两个关键漏洞，这些漏洞可能使组织面临严重的安全风险。这些漏洞被称为 “ModeLeak”，可实现权限升级和模型外渗，可能允许攻击者访问 Vertex AI 环境中的敏感机器学习（ML）和大型语言模型（LLM）数据。 第一个漏洞是通过 Vertex AI 中的自定义作业进行权限升级。通过利用 Vertex AI Pipelines 中的自定义作业权限，攻击者可以访问整个项目的数据。报告指出：“通过操纵自定义作业管道，我们发现了一个权限升级路径，它允许我们访问远远超出预期范围的资源。这种访问权限包括从 Google 云存储和 BigQuery 数据集中列出、读取和导出数据的能力–这些操作通常需要更高级别的授权。” 通过自定义代码注入，研究人员演示了攻击者如何注入命令以打开反向 shell，从而在环境中创建后门。这一漏洞源于授予服务代理的默认权限，研究人员发现该权限过于宽泛。“凭借服务代理的身份，我们可以列出、读取甚至导出我们本不应该访问的数据桶和数据集中的数据。” 第二个漏洞带来了更为隐蔽的威胁：通过恶意模型进行模型外渗。恶意行为者可以将中毒模型上传到公共存储库，一旦部署，就会渗透到环境中的其他敏感模型。“想象一下恶意行为者将中毒模型上传到公共模型库的情景，”报告解释道。“一旦部署，恶意模型就会渗透到项目中的所有其他 ML 和 LLM 模型，包括敏感的微调模型。”这种情况创建了一个模型到模型的感染途径，嵌入在微调适配器中的专有信息可被攻击者复制和外渗。 Palo Alto Networks 此后与谷歌分享了这些发现，谷歌已部署了修复程序，以确保谷歌云平台（GCP）上 Vertex AI 的安全。为了抵御类似威胁，Palo Alto Networks 建议企业实施严格的访问控制，并密切监控模型部署流程。报告警告说，如果这些漏洞被威胁行为者利用，特别是在敏感数据驱动模型训练和调整的环境中，可能会造成广泛的后果。     转自Freebuf，原文链接：https://www.anquanke.com/post/id/301816 封面来源于网络，如有侵权请联系删除

一项针对 OvrC 云平台的安全分析发现了 10 个漏洞，这些漏洞可以串联起来，允许潜在攻击者在联网设备上远程执行代码。 Claroty 研究人员 Uri Katz 在一份技术报告中说：“成功利用这些漏洞的攻击者可以访问、控制和破坏 OvrC 支持的设备；其中一些设备包括智能电源、摄像头、路由器、家庭自动化系统等。” Snap One公司的OvrC（发音为 “oversee”）被宣传为一个 “革命性的支持平台”，能让业主和企业远程管理、配置网络上的物联网设备并排除故障。据其网站介绍，OvrC 解决方案已部署在 50 多万个终端用户地点。 根据美国网络安全和基础设施安全局（CISA）发布的协调公告，成功利用已发现的漏洞可使攻击者 “冒充并声称拥有设备，执行任意代码，并披露受影响设备的信息。” 已发现的这些漏洞会影响 OvrC Pro 和 OvrC Connect，该公司已于 2023 年 5 月发布了其中 8 个漏洞的修复程序，并于 2024 年 11 月 12 日发布了剩余 2 个漏洞的修复程序。 “我们发现的这些问题很多都是由于忽视了设备到云的接口而引起的，”卡茨说。“在许多这样的案例中，核心问题是由于弱标识符或类似的错误，物联网设备被交叉认领的能力。这些问题包括弱访问控制、身份验证绕过、输入验证失败、硬编码凭证和远程代码执行缺陷等。” 因此，远程攻击者可以利用这些漏洞绕过防火墙，在未经授权的情况下访问基于云的管理界面。更糟糕的是，这些访问权限随后可能被用于枚举和配置设备、劫持设备、提升权限，甚至运行任意代码。 最严重的漏洞列举如下 CVE-2023-28649 （CVSS v4 得分：9.2），允许攻击者假冒集线器并劫持设备 CVE-2023-31241（CVSS v4 分值：9.2），允许攻击者绕过序列号要求，认领任意未认领设备 CVE-2023-28386 （CVSS v4 评分：9.2），允许攻击者上传任意固件更新，导致代码执行 CVE-2024-50381（CVSS v4 分值：9.1），允许攻击者冒充集线器，任意取消认领设备，随后利用其他缺陷认领设备 “随着每天上线的设备越来越多，云管理成为配置和访问服务的主要手段，制造商和云服务提供商比以往任何时候都更需要确保这些设备和连接的安全，”Katz 说。“负面结果可能会影响连接到 OvrC 云的联网电源、商业路由器、家庭自动化系统等。 Nozomi Networks 在披露上述信息的同时，还详细介绍了影响 EmbedThis GoAhead 的三个安全漏洞，EmbedThis GoAhead 是嵌入式和物联网设备中使用的小型 Web 服务器，在特定条件下可能导致拒绝服务（DoS）。这些漏洞（CVE-2024-3184、CVE-2024-3186 和 CVE-2024-3187）已在 GoAhead 6.0.1 版本中得到修补。 最近几个月，江森自控的 exacqVision Web 服务也发现了多个安全漏洞，这些漏洞可被结合起来，控制连接到该应用程序的监控摄像头的视频流并窃取凭证。       转自安全客，原文链接：https://www.anquanke.com/post/id/301819 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）扩充了其已知漏洞（KEV）目录，突出强调了目前在野外被利用的五个安全漏洞。这些漏洞横跨微软、思科、Atlassian 和 Metabase 产品，对处理敏感数据或暴露于公共网络的系统构成重大风险。 1. CVE-2024-43451 (CVSS 6.5)： NTLM 哈希值泄露漏洞 该漏洞因其触发简单而特别令人担忧。据微软称，与恶意文件的最小交互（如单击或右键单击操作）可能会将用户的 NTLMv2 哈希值暴露给远程攻击者。NTLM 哈希值是用户的加密凭据，攻击者可以通过它验证被攻击用户的身份，从而访问敏感资源。 2. CVE-2024-49039 (CVSS 8.8)： Windows 任务调度程序权限提升漏洞 由 Google 的威胁分析小组发现，此漏洞允许攻击者执行特制的应用程序，将权限从低完整性 AppContainer 环境提升到中完整性级别。这种权限升级可使攻击者运行通常仅限于高权限账户的 RPC 功能，从而在未经授权的情况下访问原本受保护的资源。 3. CVE-2021-41277 (CVSS 10)： Metabase GeoJSON API 本地文件包含漏洞 Metabase 是一个广泛使用的开源商业智能平台，它隐藏着一个关键漏洞，允许攻击者利用 GeoJSON API 进行本地文件包含。该漏洞可导致未经授权的数据访问和系统泄露，突出表明了及时进行软件更新和安全配置实践的重要性。 4. CVE-2014-2120： Cisco ASA WebVPN 跨站脚本漏洞 该漏洞存在于 Cisco Adaptive Security Appliance (ASA) 软件的 WebVPN 登录页面中，攻击者可利用该漏洞注入恶意脚本，从而可能泄露用户凭据并为会话劫持提供便利。这一遗留漏洞的持续存在强调了全面漏洞管理计划的重要性，以及解决所有系统漏洞（无论其使用年限长短）的必要性。 5. CVE-2021-26086 (CVSS 5.3)： Atlassian Jira 服务器和数据中心路径遍历漏洞 Atlassian Jira Server and Data Center 存在此漏洞，攻击者可利用路径遍历漏洞，在未经授权的情况下访问敏感文件。该漏洞凸显了安全编码实践的重要性，以及进行持续安全测试以识别和修复软件应用程序漏洞的必要性。 减轻威胁 CISA 要求联邦经济与商业委员会各机构在 2024 年 12 月 3 日前修补这些漏洞，这是对各行业组织优先进行漏洞管理的重要提醒。     转自安全客，原文链接：https://www.anquanke.com/post/id/301822 封面来源于网络，如有侵权请联系删除  

伊利诺伊州债务减免服务提供商 Set Forth, Inc. 披露了一次数据泄露事件，导致 150 万美国客户的个人数据被泄露。 该漏洞于 2024 年 5 月 21 日被发现，是由一次外部黑客事件导致的，该事件泄露了敏感信息，包括姓名、地址、出生日期和社会安全号码。 该公司于 2024 年 11 月 8 日通知了受影响的个人，并提供身份保护服务以减轻潜在的滥用。 Set Forth, Inc. 为参加债务减免计划的消费者提供在线账户管理，并与 Centrex, Inc. 等企业对企业客户合作。 发生违规行为后，该公司向受影响方发出了详细通知，其中许多人因与 Set Forth 的业务合作伙伴有关联而收到通知。 违规披露显示，Set Forth 立即对可疑系统活动展开调查，并聘请第三方取证专家评估泄露程度并识别受影响的数据。 据称，此次网络安全事件暴露的个人信息可能包括某些账户的家庭成员或共同申请人的数据。 具体来说，泄露的数据包括： 全名 物理地址 出生日期 社会保障号码 考虑到所访问数据的性质，此次泄露的严重性使客户面临身份盗窃和相关欺诈的高风险，促使该公司迅速发出通知并提供保护服务。 此次泄密事件发生后，Set Forth 宣布了多项措施来增强其安全性。 该公司的事件响应措施包括对所有密码进行全局重置、实施高级端点监控软件以及增加新的安全控制措施，以防止未来发生类似事件。 此外，Set Forth 还通过 Cyberscout 安排了为期一年的免费信用监控和身份保护。 Set Forth 在给客户的通知中强调，尽管目前没有证据表明数据被滥用，但个人应对任何可疑活动保持警惕。 公司鼓励客户定期查看自己的财务和信用报表，并向客户提供有关如何激活 Cyberscout 服务以及通过欺诈警报或信用冻结来保护其信用文件的具体说明。       转自安全客，原文链接：https://www.anquanke.com/post/id/301825 封面来源于网络，如有侵权请联系删除

一次针对一家车辆追踪解决方案公司的网络攻击，导致英国囚车追踪系统和报警系统陷入瘫痪，目前尚无证据表明犯罪分子试图利用这一情况。 作为当事者公司，Microlise已于近期向伦敦证券交易所通报了此次事件，但未提供有关客户可能受到连锁反应影响的详细信息。 Microlise在11月6日发布声明，表示攻击者可能已获取了员工数据，不过“公司有信心客户的系统数据未受到泄露。” Microlise称：“我们正在努力恢复服务，恢复工作预计将持续数天，服务有望在下周末基本恢复正常。” 作为Microlise公司的客户，Serco是一家为英国司法部运营囚犯押送服务的外包公司。据《金融时报》报道，Serco的员工于11月4日接到通知，因Microlise事件影响，“车辆追踪、紧急报警、导航和预计到达时间通知”均已暂停使用。 英国司法部对此事拒绝发表评论。据了解，相关官员认为此次事件对英国的囚犯押送服务没有实质性影响。 尽管此次供应链事件暴露出第三方供应商遭受网络攻击带来的风险，但目前没有迹象表明攻击者意识到Microlise与Serco囚犯运输服务之间的关联。 英国政府目前正在试点一项“Cyber Essentials”认证计划来保护供应链，该项目初期将要求英国最大的银行，将网络安全标准纳入对供应商的要求中。 根据英国政府即将出台的《网络安全与弹性法案》，其他关键基础设施运营商以及公共部门承包商也可能会被要求引入类似的供应商安全标准。该法案预计将于明年提交议会审议。     转自安全内参，原文链接：https://www.secrss.com/articles/72339 封面来源于网络，如有侵权请联系删除  

国际零售巨头皇家阿霍德德尔海兹集团（Ahold Delhaize）日前确认，旗下Food Lion、Stop & Shop等多个美国超市品牌的系统中断，是因为持续的“网络安全问题”所引发。公司表示，他们已关闭了一些系统，这对部分药房及电商业务造成了影响。 这家总部位于荷兰的跨国企业，在欧洲以阿尔伯特·海恩（Albert Heijn）和德尔海兹（Delhaize）等品牌闻名，在美国市场则拥有Stop & Shop、Hannaford、Giant和Food Lion等品牌，公司官网显示这些品牌在美国市场拥有超过2000家门店。 图：该公司官网显示美国市场的品牌数据 该公司在上周五（8日）发布的声明中指出：“在问题首次被发现时，我们的安全团队立即在外部网络安全专家的协助下展开了调查。同时，我们也已通知执法部门。” “皇家阿霍德德尔海兹集团美国分公司旗下的所有品牌店铺仍正常营业，继续为客户提供服务。我们将持续采取措施，以进一步保护我们的系统。客户、员工和合作伙伴的安全始终是我们的首要任务。” “我们对于此次事件可能给客户和合作伙伴带来的不便深感抱歉。” 员工顾客在社交媒体上反馈吐槽 据悉，美国零售店面临的问题已经持续了一周。由于网络安全调查通常需要较长时间，案件的具体细节仍在收集中。但是，受影响店铺的员工们已在社交媒体上分享了他们的经历。 Stop & Shop的部分顾客最近反映，他们所在的超市药房因IT问题暂时无法补充药品。为应对这一问题，药品被转移至附近的沃尔格林药房，但由于商店的电话线路也出现了问题，处理过程受到了影响。 不过，地方新闻报道称，药房的IT问题目前已经得到解决，现在可以正常补充处方药。 一位自称负责向商店运送物资的人员表示，发票上的价格与实际成本不符。 不同商店受到影响的程度有所差异。截至11月9日，部分商店的服务已经恢复正常，而另一些商店仍然没有互联网连接，只能依靠员工的个人热点来维持运营。 Food Lion的Reddit社区尤其活跃，用户们讨论了员工在店铺内遇到的类似问题。 关于交货延迟或缺失的报告频繁出现，且部分到货物资供应不足。截至11月10日，也出现了与Stop & Shop类似的发票与实际价格不匹配现象。同时，电话线路依然无法使用。 有些用户反映，Food Lion To Go和Instacart的订单无法处理，后者的恢复时间也一再推迟。此外，部分支付服务也受到了限制。 据称，在某些地点，一线员工被经理告知不要与同事讨论此问题，目的是防止信息在社交媒体上扩散。然而，也有员工表示，他们的店铺并没有受到这样的限制。 一名员工还表达了对财务数据可能被影响的担忧。该员工声称，在事件发生几天后，他的借记卡被用于多次欺诈性消费，但目前尚不清楚这两件事是否有关联。 官方缺乏进一步的信息更新 外媒The Register就此问题询问了皇家阿霍德德尔海兹集团，是否有任何数据在此次攻击中遭到泄露，但并未收到回复。 本文发布时，Hannaford的网站仍处于宕机状态，显示消息：“抱歉！我们的服务器出现了技术问题。我们正在尽快恢复服务。” The Register尝试从英国访问其他美国品牌的网站（Giant、Food Lion和Stop & Shop），但即便使用VPN，也无法绕过其网络保护层，访问被阻止。 在美国，这四大零售品牌共拥有约2000家店铺，均可能受到此次网络安全事件的影响。 其中，Food Lion拥有超过1000家门店，员工人数超过8.2万人，每周服务超过1000万名顾客。如果问题持续影响这些店铺，潜在影响规模将非常巨大。       转自安全内参，原文链接：https://www.secrss.com/articles/72373 封面来源于网络，如有侵权请联系删除

据The Hack News消息，与哈马斯存在关联的网络攻击者近期正专门针对以色列实体实施破坏性攻击。 Check Point 在一份分析中表示，该活动与一个名为 WIRTE 的组织有关，该组织最近至少进行了两波针对以色列的破坏性攻击。 WIRTE 是中东高级持续威胁 （APT） 的绰号，首先由西班牙网络安全公司 S2 Grupo 发现。该组织至少自 2018 年 8 月以来就一直活跃，主要针对该地区的广泛实体发动攻击，活动范围包括巴勒斯坦、约旦、伊拉克、沙特阿拉伯和埃及。 Check Point表示，该组织的活动在整个加沙战争期间一直存在，一方面，它的持续活动加强了与哈马斯的联系，另一方面又使这项活动的地理归属变得特别复杂。 WIRTE 在 2024 年的活动被发现利用中东的地缘政治紧张局势和战乱来制作恶意RAR文档，从而部署 Havoc 后期开发框架。 在 2024 年 9 月之前观察到的替代链利用类似的 RAR 文档部署 IronWind 下载器。这两种感染序列利用向受害者传播带有欺骗性的 PDF 文档，使用合法的可执行文件来侧载带有恶意软件的 DLL。 在 2024 年 10 月观察到针对医院和市政当局等多个以色列组织的网络钓鱼活动中，钓鱼电子邮件甚至显示从网络安全公司 ESET 在以色列的合作商发出，其中包含新创建的SameCoin Wiper 版本，该版本也曾在今年早些时候针对以色列的攻击中部署。 除了用随机字节覆盖文件外，最新版本的 SameCoin 擦除器还会修改受害者系统的背景，以显示带有哈马斯军事分支 Al-Qassam Brigades 名称的图像。SameCoin 是一种以安全更新为幌子分发的定制擦除器，于 2024 年 2 月被发现，被哈马斯附属的攻击者用来破坏 Windows 和 Android 设备。 据 HarfangLab 称，Windows 加载程序样本（“INCD-SecurityUpdate-FEB24.exe”）的时间戳被更改为 2023 年 10 月 7 日，即哈马斯对以色列发动突然攻势的日期。而初始访问媒介据信是一封冒充以色列国家网络局 （INCD） 的电子邮件。 “尽管中东冲突持续，但该组织坚持开展多项活动，展示了一个多功能工具包，其中包括用于间谍和破坏活动的擦除器、后门和网络钓鱼页面，”Check Point 在报告中总结道。       转自Freebuf，原文链接：https://www.freebuf.com/news/415238.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，今年2月，一个名为“KryptonZambie”的黑客者开始在 BreachForums论坛 上出售 1.328亿条个人信息记录，目前已证实，这些数据来自一家聚合数据的 B2B 需求生成公司 DemandScience（前身为 Pure Incubation）。 数据聚合是从公共来源收集、编译和组织数据，以创建一个对数字营销人员和广告商有价值的综合数据集，从而创建丰富的 “档案”，用于生成线索或营销信息。 在 DemandScience 的案例中，该公司从公共来源和第三方收集业务数据包括全名、实际地址、电子邮件地址、电话号码、职称和职能以及社交媒体链接。 黑客表示，他们从暴露的系统中窃取到了这些数据。对此BleepingComputer曾问询DemandScience，但被告知没有证据表明发生了数据泄露。DemandScience 企业传播高级总监Derek Beckwith表示“所有的系统都 100% 正常运行，我们没有发现任何迹象表明我们的任何系统或数据发生了黑客攻击或泄露事件。我们正在继续监测情况，因此目前不宜进一步扩大事态。” 到了8月15日，KryptonZambie 以 8 个论坛积分（相当于几美元）的价格出售数据集，基本上是免费泄露数据。 黑客发布的数据泄露帖子 11月13日，安全专家、数据泄露查询网站Have I Been Pwned（HIBP）创始人特洛伊·亨特（Troy Hunt）发表博文，称已确认数据的真实性，有受数据泄露影响的人联系了 DemandScience，并被告知泄露的数据来自两年前已退役的系统。 亨特还在泄露的数据中找到了自己的个人信息，包括他在辉瑞工作时的数据。 目前被盗数据集中的所有 1.22 亿个唯一电子邮件地址已添加到BIBP中，受影响的订阅者将收到有关数据泄露的邮件通知。     转自Freebuf，原文链接：https://www.freebuf.com/news/415274.html 封面来源于网络，如有侵权请联系删除  

11月12日，五眼联盟（美国、英国、澳大利亚、加拿大和新西兰）网络安全机构报告称，黑客越来越多地利用零日漏洞访问目标网络。 与过去相比，当前的安全威胁或关注点可能已经发生了变化。2022年和2021年发布的类似警告称，恶意网络行为者更频繁地利用旧软件漏洞，现在可能更关注新披露的漏洞。 在联合咨询报告中，机构列出了2023年最常被利用的15个漏洞，其中CVE-2023-3519（影响Citrix网络产品NetScalers的问题）被最广泛地使用。 NetScalers漏洞被修补时的报告称，攻击者利用漏洞，以自动化的方式破坏了数千个设备，放置了webshells以获得持续访问权限。 其他被广泛利用的漏洞包括影响思科路由器的关键漏洞，影响Fortinet VPN设备的漏洞，以及一个影响MOVEit文件传输工具的漏洞，该漏洞被Clop勒索软件团伙广泛利用。 报告指出，自美国网络安全和基础设施安全局（CISA）及其合作伙伴开始共享这份年度列表以来，其中大多数漏洞最初都是作为零日漏洞被利用。 尽管咨询报告只涵盖了去年的情况，但根据英国国家网络安全中心（NCSC）的说法，零日漏洞利用的趋势已经延续到2024年，标志着“与2022年相比发生了转变，当时列表只有不到一半作为零日漏洞被利用。” NCSC首席技术官Ollie Whitehouse警告说：“常规化的零日漏洞初始利用代表了新常态，恶意行为者寻求渗透网络，这应该引起最终用户组织和供应商的关注，。” “为了降低被入侵的风险，所有组织都必须通过及时应用补丁，并在技术市场上使用安全设计产品来保持领先地位。”Whitehouse说。       转自E安全，原文链接：https://mp.weixin.qq.com/s/sZGhRNMcdMxRXisqxWnlFg 封面来源于网络，如有侵权请联系删除